La password è uno degli elementi che caratterizzano i sistemi di autenticazione informatici. Per essere efficace, deve essere nota all’utente e segreta per tutti gli altri.
I sistemi di autenticazione, quindi, ormai da tempo, obbligano l’utente a cambiare periodicamente la password, per ridurre il rischio di password cracking (violazione della password). Molte organizzazioni, inoltre, hanno stabilito regole interne che obbligano l’utente a creare password a “prova di hacker”: per esempio, con una lunghezza minima di 12 caratteri di cui almeno uno numerico, almeno uno maiuscolo ed almeno uno simbolico (%, $, -, ecc.).
Queste regole nascono perché, nel tempo, la forza delle password è stata associata a tre caratteristiche:
– lunghezza (minimo 12 caratteri),
– complessità (caratteri vari),
– casualità (con esclusione della ripetizione di precedenti password e dell’utilizzo di dati facilmente conoscibili, come ad esempio la data di nascita o il nome della moglie).
Tuttavia, il National Istitute of Standards and Technology, l’istituto governativo di standardizzazione tecnologica statunitense, è arrivato, in uno studio pubblicato lo scorso giugno, a conclusioni assai diverse:
1. la complessità e la lunghezza incrementano lo sforzo di memorizzazione degli utenti;
2. lo sforzo aumenta la frustrazione e il rischio di non riuscire a ricordare la propria password.
Per superare il problema, spesso, gli utenti sono indotti a creare password che, sebbene soddisfino formalmente le caratteristiche di lunghezza, complessità e casualità, risultano molto facili da ricordare e, quindi, da “crackare”.
Qualche utente meno accorto arriva a scrivere la password sui post-it da attaccare allo schermo del pc. In questo modo, è certo di non dimenticarla ma i malintenzionati possono carpirla senza alcuno sforzo.
Insomma, meglio una password più semplice da ricordare, purché davvero segreta, per non cadere nella tentazione di scrivere: “Miamoglieha39anni!”.